[研究]Spunk Server上用iptables防火牆解決nmap發現的弱憑證簽章 Weak certificate signature SHA1弱點
2021-06-01
同這篇
[研究] Nessus 報告 Splunk port 8089 有 35291 - SSL Certificate Signed Using Weak Hashing Algorithm 弱點
https://shaurong.blogspot.com/2021/06/nessus-splunk-port-8089-35291-ssl.html
(下圖)用 nmap 掃描 Splunk Server 時候,會在 port 8089 發現使用Weak certificate signature: SHA1,就算換使用目前最新的 Splunk 8.2.0 版也是。
nmap -p 8089 --script ssl-enum-ciphers 目的IP
解決方法之一是等 Splunk 換掉SHA1。
若不能等,可自製憑證,換掉所有 Splunk Server 和 Splunk Universal Forwarder ( Client, Agent) 電腦上憑證和設定。
但工程頗大、而且 Splunk 更新頻繁。
另一種方法是用防火牆管制,不讓檢測人員用 nmap 掃到(因為被逼一定要用 Splunk,一定要處理,又沒空頻繁花時間處理)。敝人用的是 CentOS iptables,設定類似如下:
vi /etc/sysconfig/iptables |
內容
# Generated by iptables-save v1.4.7 *filter :INPUT DROP [6104:405502] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [65815:18024164] -A INPUT -i lo -j ACCEPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT # Allow IP -A INPUT -s 172.16.3.101/32 -i eth0 -j ACCEPT -A INPUT -s 172.16.3.102/32 -i eth0 -j ACCEPT # Allow Metwork -A INPUT -s 172.16.4.0/24 -i eth0 -j ACCEPT # Deny -A INPUT -s 172.16.3.0/24 -i eth0 -j DROP |
設定開機自動讀取 vi /etc/rc.local,最後加上一行
iptables-restore < /etc/sysconfig/iptables |
(下圖) 再掃描一次,沒有發現弱加密演算法的弱點了。
相關指令
service iptables start
service iptables restart
service iptables stop
service iptables status
chkconfig iptables on
chkconfig iptables off
iptables -L 顯示目前規則 (或 iptables -L -v)
netstat -n | grep 172.16.3.32 | grep 8089 | sort 顯示本機以外連線
(完)
沒有留言:
張貼留言